NIS2 in Deutschland: Was die Verzögerung der nationalen Umsetzung für Unternehmen bedeutet und warum Vorbereitung der Schlüssel ist

11.09.2025

Die aktualisierte Cybersicherheitsrichtlinie der Europäischen Union, NIS2, tratt offiziell im Oktober 2024 in Kraft. Ihr Ziel ist im Prinzip einfach, aber in der Praxis weitreichend: Sie soll die Basis für die Cyber-Resilienz in kritischen Sektoren anheben, die Zahl der erfassten Unternehmen erhöhen und die Richtlinie mit Nachdruck durchsetzen. 

Doch in Deutschland steht die tatsächliche Umsetzung in nationales Recht noch aus. Politische Veränderungen und ein Rückstau bei der Gesetzgebung haben die Unternehmen in der Schwebe gelassen. Im September 2025 gab es immer noch kein endgültiges Gesetz, kein Verzeichnis der "wesentlichen" oder "wichtigen" Unternehmen und keine veröffentlichten Fristen für die Umsetzung. 

Dies hat zu einem Zustand der Verwirrung in den Unternehmen geführt. Viele Entscheidungsträger wissen einfach nicht, was sie als Reaktion auf die NIS2 tun müssen, bis wann sie es tun müssen und, was noch wichtiger ist, ob die NIS2 überhaupt für sie gilt.  

Eine 2024-Studie des Bitkom hat ergeben, dass sich 66 Prozent der deutschen Unternehmen nicht auf NIS2 vorbereitet fühlen. Und obwohl es verlockend sein mag, auf Klarheit aus Berlin zu warten, ist das eine riskante Strategie. Denn sobald Deutschland aufholt (und das muss es), wird die Einhaltung der Vorschriften verpflichtend sein, und die Strafen werden erheblich sein. 

Jetzt ist es an der Zeit zu handeln. Die Grundlagen von NIS2 sind bekannt. Ihre Wettbewerber in anderen Ländern passen sich bereits an. Ein Aufschub bringt keine Vorteile, aber Stillstand birgt ein reales und glaubwürdiges Risiko. 

Was NIS2 verlangt und für wen es gilt 

Die ursprüngliche NIS-Richtlinie (2016) konzentrierte sich auf kritische Infrastrukturen und die dahinter stehenden Unternehmen, wie etwa große Akteure in den Bereichen Energie, Verkehr, Banken und Gesundheit. Aber NIS2 erweitert den Anwendungsbereich drastisch.  

Diesmal müssen nicht nur große Unternehmen aktiv werden. Es sind alle Organisationen, die für die Wirtschaft oder Gesellschaft unverzichtbare Dienstleistungen erbringen, darunter auch viele kleine und mittlere Unternehmen. 

Letztlich gilt die NIS2 für zwei Ebenen von Unternehmen: 

  • Wesentliche Einrichtungen, wie große Unternehmen in kritischen Sektoren wie Energie, Gesundheit, Verkehr und digitale Infrastruktur. Diese Unternehmen haben in der Regel mehr als 250 Beschäftigte oder einen Umsatz von über 50 Mio. EUR.  
  • Wichtige Unternehmen, z. B. mittelgroße Unternehmen in Sektoren wie der Herstellung kritischer Produkte, der Lebensmittelproduktion, der Postdienste, der Chemie und der digitalen Dienstleistungen. Diese Unternehmen haben in der Regel mehr als 50 Beschäftigte oder einen Umsatz von mehr als 10 Mio. EUR.  

Es ist wichtig zu beachten, dass die oben genannten Schwellenwerte allgemeine Richtwerte sind. Spezifische Schwellenwerte können je nach Sektor variieren und müssen auf der Grundlage der Größe der Organisation und des Sektors, in dem sie tätig ist, festgelegt werden. In bestimmten Fällen kann eine Einrichtung auch dann als "wesentlich" oder "wichtig" eingestuft werden, wenn sie die Größenkriterien nicht erfüllt, z. B. wenn sie der einzige Erbringer einer für die Gesellschaft oder Wirtschaft wichtigen Dienstleistung ist.  

Eine junge Frau schüttelt von hinten gesehen einer anderen Person die Hand.

Was sind also die Erwartungen? 

NIS2 verlangt von den betroffenen Unternehmen, dass sie risikobasierte Sicherheitspraktiken für ihre gesamte Geschäftstätigkeit anwenden. Das schließt ein: 

  • Risikomanagement: Sie müssen regelmäßige Bewertungen durchführen und entsprechende Sicherheitskontrollen einführen. 
  • Behandlung von Zwischenfällen: Einschließlich 24-Stunden-Meldung bedeutender Vorfälle an die Aufsichtsbehörden und vollständige Berichterstattung innerhalb von 72 Stunden. 
  • Geschäftskontinuität und Krisenreaktion: Ausfallsicherheitsplanung, Notfallwiederherstellung, Backups und Krisenkommunikationsprozesse. 
  • Sicherheit in der Lieferkette: Sie sind nicht nur für Ihre eigenen Schutzmaßnahmen verantwortlich, sondern auch für das Management von Cyberrisiken bei Ihren Lieferanten und Dienstleistern. 
  • Governance und Rechenschaftspflicht: NIS2 führt eine Rechenschaftspflicht von oben nach unten ein. Die Unternehmensleitung muss Cyber-Strategien genehmigen und kann bei Fehlern persönlich zur Verantwortung gezogen werden. 

Die Nichteinhaltung hat strenge Konsequenzen: bis zu 10 Millionen Euro oder 2 % des weltweiten Umsatzes, je nachdem, welcher Betrag höher ist. Im Gegensatz zu früheren Regelungen ermöglicht NIS2 auch die persönliche Sanktionierung von Führungskräften. Für viele deutsche Unternehmen, insbesondere im Mittelstand, ist dies das erste Mal, dass sie in die EU-weite Cyber-Regulierung einbezogen werden. 

Die aktuelle Situation in Deutschland 

Obwohl die NIS2 in der gesamten EU in Kraft ist, hat Deutschland sein nationales Umsetzungsgesetz noch nicht verabschiedet. 

Ursprünglich war geplant, die NIS2 mit dem "Gesetz zur Umsetzung der NIS2 und zur Stärkung der Cybersicherheit" bis Anfang 2025 in nationales Recht umzusetzen. Ein entsprechender Gesetzesentwurf war von der Vorgängerregierung verabschiedet worden. Doch die Auflösung des Bundestages Ende 2024 und die anschließenden Neuwahlen brachten das Gesetzgebungsverfahren ins Stocken. 

Jetzt, unter der neuen Koalition, muss der gesamte Prozess von vorne beginnen. Das deutsche NIS-2-Umsetzungsgesetz wurde am 30. Juli vom Kabinett verabschiedet, aber nach dem parlamentarischen Verfahren muss der Gesetzentwurf erneut vorgelegt, geprüft und diskutiert werden. Im günstigsten Fall würde ein neues nationales Gesetz Ende 2025 vorliegen, aber es könnte auch 2026 sein, bevor es in Kraft tritt.  

Diese Verzögerung wurde weithin kritisiert, und die Europäische Kommission hat Deutschland und andere Länder sogar förmlich ermahnt, weil sie die Umsetzungsfrist verpasst haben. Noch beunruhigender ist, dass es keine Anzeichen für eine Gnadenfrist gibt. Sobald das Gesetz verabschiedet ist, wird von den Unternehmen erwartet, dass sie es sofort umsetzen. Es wird keinen sanften Start oder eine schrittweise Einführung geben, wie es in anderen EU-Mitgliedstaaten der Fall war.  

In der Praxis bedeutet dies, dass deutsche Unternehmen jetzt handeln müssen, bevor das Gesetz in Kraft tritt. Denn sobald das Gesetz kommt, tickt der Countdown für die Einhaltung der Vorschriften und die Geldbußen bereits. 

Was andere Länder tun und warum Deutschland das zur Kenntnis nehmen sollte 

Während Deutschland hinterherhinkt, haben mehrere EU-Nachbarländer bereits NIS2-Umsetzungspläne veröffentlicht und begonnen, gemeinsam mit der Industrie Vorbereitungen zu treffen. Ihre Fortschritte geben einen hilfreichen Einblick in die Zukunft und zeigen, warum deutsche Unternehmen nicht warten sollten.  

Österreich: Verzögerungen, aber Transparenz 

Auch in Österreich kam es aufgrund politischer Umbesetzungen zu einer Verzögerung der Gesetzgebung. Die neue österreichische Regierung hat jedoch bereits die Umsetzung der NIS2-Richtlinie zur Priorität erklärt und einen neuen Gesetzentwurf zur öffentlichen Konsultation veröffentlicht. Die Behörden schätzen, dass etwa 30.000 Unternehmen in Österreich betroffen sein werden, und haben damit begonnen, branchenspezifische Leitlinien und FAQs zu veröffentlichen, um die Einhaltung der Vorschriften zu unterstützen.  

Niederlande: Klare Zeitvorgaben und ein früher Start 

Der niederländische Ansatz wird weithin als Vorbild angesehen. Das niederländische Cybersicherheitsgesetz, mit dem die NIS2 umgesetzt wird, wurde Mitte 2024 zur Konsultation freigegeben. Eine endgültige Fassung wurde dem Parlament Anfang 2025 vorgelegt, mit einem klaren Zieldatum für die Durchsetzung bis Ende des Jahres. 

Entscheidend ist, dass die niederländischen Regulierungsbehörden frühzeitig Leitlinien veröffentlicht haben, die Unternehmen dabei helfen, ihre Risiken zu bewerten, ihre Unternehmensführung anzupassen und Protokolle für die Reaktion auf Vorfälle zu testen, lange bevor das Gesetz in Kraft tritt. 

Frankreich: Schneller und weiter vorankommen 

Frankreich wählte einen breiteren, ehrgeizigeren Ansatz, indem es die NIS2 in einem umfassenden "nationalen Resilienzgesetz" bündelte, das auch die CER-Richtlinie (über kritische Einrichtungen) und die DORA für den Finanzsektor umfasst. 

Im Frühjahr 2025 wurde das Gesetz bereits im Parlament fertiggestellt. Das französische Modell legt besonderen Wert auf kritische Infrastrukturen, Kontinuitätsplanung und nationale Koordination. Wichtig ist auch, dass Frankreich die NIS2-ähnlichen Verpflichtungen über das EU-Minimum hinaus ausweitet und einige Gemeinden und Forschungseinrichtungen einbezieht. 

Bild eines schwarzen Notizbuchs mit der Aufschrift "EU-Verordnungen" neben der blauen europäischen Flagge mit Sternen

Wie deutsche Unternehmen jetzt handeln können 

Während Deutschlands nationales Gesetz spät dran ist, ist die EU-Richtlinie bereits in Kraft, und wenn Sie auf die endgültige Gesetzgebung warten, riskieren Sie mögliche Geldstrafen. Hier ist, was deutsche Unternehmen (insbesondere diejenigen, die in regulierten Sektoren tätig sind) jetzt tun sollten: 

1. Beurteilen Sie, ob Sie im Geltungsbereich sind 

Beginnen Sie mit den Grundlagen: Wenn Sie mehr als 50 Mitarbeiter haben und in einem der in NIS2 (Anhänge I und II) aufgeführten Sektoren tätig sind, lautet die Antwort wahrscheinlich ja. Selbst wenn Sie ein Zulieferer eines Unternehmens sind, das in den Geltungsbereich fällt, können Sie indirekt betroffen sein. Beginnen Sie jetzt damit, Ihre Geschäftsfunktionen, Abhängigkeiten und Sektorklassifikationen zu erfassen. Die Regulierungsbehörden in Österreich und den Niederlanden arbeiten mit Unternehmen auf der Grundlage von Entwürfen zusammen. Das können Sie auch. 

2. Führen Sie eine Lückenanalyse durch 

NIS2 erfordert einen dokumentierten, risikobasierten Ansatz für die Cyberabwehr. Das umfasst unter anderem Notfallpläne, Sicherheitsrichtlinien, Schwachstellenmanagement, Zugriffskontrollen und die Überwachung durch Dritte. Führen Sie eine strukturierte Lückenanalyse durch, indem Sie Ihre aktuelle Situation mit den bekannten NIS2-Anforderungen vergleichen. Identifizieren Sie, was fehlt, und priorisieren Sie die dringendsten Risiken und gesetzlichen Verpflichtungen. 

3. Stärkung des Bewusstseins der Mitarbeiter 

NIS2 macht Cybersicherheit zu einer Verantwortung, die von oben nach unten getragen wird. Die Führungskräfte müssen ihre Pflichten verstehen und Verantwortung für die Cyberstrategie übernehmen. Jetzt ist es an der Zeit, Vorstände zu informieren, Abteilungsleiter zu schulen und Sensibilisierungsworkshops im gesamten Unternehmen durchzuführen. Die Schulungen sollten maßgeschneidert sein, da verschiedene Rollen unterschiedlichen Risiken ausgesetzt sind. Die Meldung von Vorfällen, die Identifizierung von Phishing-Versuchen und der sichere Umgang mit sensiblen Daten sind Aufgaben, die alle betreffen. 

4. Bei Bedarf externe Unterstützung hinzuziehen 

Nicht jedes Unternehmen verfügt über die internen Ressourcen, um die Anforderungen von NIS2 zu erfüllen. Hier können externe Partner helfen. Ob es sich nun um einen Managed Security Service Provider (MSSP) handelt, der Bedrohungen überwacht und auf Vorfälle reagiert, oder um eine Beratungsfirma, die bei der Vorbereitung auf die Compliance hilft – es ist nicht notwendig, das Rad neu zu erfinden. 

Tools wie der NIS2-Navigator - der von Deutschland sicher im Netz e.V. entwickelt und vom Bundeswirtschaftsministerium gefördert wird - können Unternehmen dabei helfen, festzustellen, ob sie von der Richtlinie betroffen sind, ihren aktuellen Status zu bewerten und die nächsten Schritte zu bestimmen. 

Darüber hinaus bieten IHKs, Branchenverbände und das BSI (Bundesamt für Sicherheit in der Informationstechnik ) zunehmend Leitfäden, Vorlagen und Checklisten an, die insbesondere KMUs den Umgang mit der NIS2 erleichtern. 

Bei Getronics ist es unsere Aufgabe, diese Rahmenbedingungen in die Praxis umzusetzen. Wir unterstützen Unternehmen dabei, konforme Prozesse aufzubauen, ihre Widerstandsfähigkeit zu stärken und Cybersicherheit Schritt für Schritt in ihren täglichen Betrieb zu integrieren. 

Jetzt handeln, um Bußgelder zu vermeiden 

NIS2 ist ein wichtiger Rechtsakt, mit dem anerkannt wird, dass in unserer risikoreichen digitalen Welt Widerstandsfähigkeit unerlässlich (und, wenn Sie in den Anwendungsbereich fallen, sogar obligatorisch) ist.  

Ja, Deutschland ist spät dran mit der Umsetzung, aber das bedeutet nicht, dass Sie es sich leisten können, die Vorbereitungen hinauszuzögern. Die EU-Richtlinie ist verbindlich. Andere Länder ziehen nach. Und entscheidend ist, dass die Bedrohungsakteure nicht warten, ebenso wenig wie Ihre Konkurrenten. 

Getronics Unternehmen in ganz Deutschland mit den Tools und der Beratung, die sie benötigen, um selbstbewusst voranzukommen. Mit unseren Managed Services und unserer strategischen Beratung helfen wir Unternehmen, Unsicherheit in Klarheit zu verwandeln.Fordern Sie einen Rückruf an, um mit uns ins Gespräch zu kommen und zu erfahren, wie wir Ihnen helfen können.

Zwei Männer schütteln sich die Hände mit einem Sicherheitssymbol im Hintergrund

Webinar: NIS2 für KMU - Warum ein MSP jetzt Gold wert ist

(Auf Deutsch)

AUFZEICHNUNG ANSEHEN

Frank Roidl

Diplom-Ingenieur und Sales Key Account Manager bei Getronics Deutschland

In diesem Artikel:

Diesen Beitrag teilen

Ähnliche Artikel

Alle Artikel anzeigen
Zufällige Bilder

Sprechen Sie mit einem unserer Experten

Wenn Sie eine neue digitale Erfahrung in Betracht ziehen, egal in welcher Phase Sie sich gerade befinden, würden wir uns gerne mit Ihnen unterhalten.

EINEN RÜCKRUF ANFORDERN